Por Anna Núñez
Abogada. Directora de Compliance en Molins Defensa Penal
Fotografía: Alain Casanovas
Socio responsable de servicios de compliance en KPMG España. Especialista en modelos de cumplimiento y prevención penal, representa a España como experto acreditado en iniciativas de normalización nacional e internacional sobre compliance y dirige varios postgrados universitarios sobre esta materia.
Atendiendo a su trayectoria profesional en el mundo del Derecho y del compliance, nos gustaría plantearle las siguientes preguntas:
A. Núñez:
En primer lugar, sería interesante dar inicio a esta entrevista conociendo los motivos que te llevaron a especializarte en cumplimiento. Nos gustaría conocer, más allá de la breve presentación al pie de la fotografía, un poco más sobre tu trayectoria profesional.
A. Casanovas: Muchas personas que nos dedicamos al compliance adquirimos nuestra vocación al comprobar su utilidad como palanca de transformación de las organizaciones y de sus personas. Es fácil dedicarse al compliance con pasión cuando se advierte esta finalidad trascendente. Comencé hace décadas desde una perspectiva de identificación y análisis de riesgos legales, aplicando metodologías habituales en la gestión de riesgos y el control interno. Son ámbitos en los que siguen inspirándose muchos estándares modernos de compliance.
A. Núñez:
A tu modo de ver, ¿cuáles son los principales retos con los que te encuentras en el día a día de tu actividad profesional como asesor externo en materia de compliance?
A. Casanovas: Pienso que algunas personas todavía no han advertido la importancia del compliance más allá de sus beneficios para mitigar responsabilidades legales. Mientras prevalezca este entendimiento simplista, continuará percibiéndose como un mero coste, es decir, una especie de «mal necesario». El reto es ser didácticos para mostrar que, en nuestro actual entorno de negocios, el compliance ayuda a generar confianza y se traduce en ventajas competitivas, y quien no lo advierta corre el riesgo de quedar excluido del mercado. Ese es el principal reto encima de la mesa.
A. Núñez:
En muchas ocasiones se hace referencia a que «compliance» debe integrarse en el negocio. ¿Cómo se hace esto? ¿Cómo se puede convertir la función de compliance en algo imbricado en el negocio?
A. Casanovas: En verdad, no deberían existir procesos de negocio disociados de los de compliance: la única forma de desarrollar legítimamente actividades es cumpliendo con las normas y observando una conducta ética. Sin embargo, estos procesos ordinarios no siempre contemplan cuestiones relacionadas con el compliance —como evaluar la idoneidad ética de un proveedor o socio de negocio antes de contratar con él, por ejemplo—. La integración de procesos supone agregar los requisitos que precisa la organización (incluyendo los de compliance) para poder ejecutar una determinada transacción. Y esto se consigue involucrando a la función de compliance en los procesos ordinarios y sus flujos de actuación o decisión, fijando su participación como un condicionante más para concluir los procesos de negocio que así lo precisen.
A. Núñez:
En tu opinión, ¿cuáles son las diferencias principales respecto de la implementación de un sistema de compliance en una PYME y en una gran empresa? ¿Es más sencillo trabajar con empresas pequeñas o es indiferente?
A. Casanovas: Se ha dicho que el compliance —en general— y los estándares de compliance —en particular— parecen ideadas para grandes organizaciones, dificultando su aplicación en las pequeñas o medianas. Esta percepción nace de querer aplicar modelos y conceptos propios de las grandes empresas a las PYMEs, lo que conduce al fracaso. Cabe aplicar los modelos de compliance sobre la base del Principio de proporcionalidad y, sobre todo, considerando que el compliance no constituye nunca una finalidad en sí mismo, siendo un instrumento para construir o mantener una buena cultura corporativa. Y si nos paramos a pensar, este objetivo trascendente es mucho más sencillo de alcanzar en PYMEs que en grandes empresas.
A. Núñez:
De tu trayectoria profesional cabe destacar, entre otras, la participación en el desarrollo de normas UNE/ISO en materia de compliance. ¿Consideras que son esenciales dichas normas técnicas para el diseño e implementación de sistemas de compliance? En su caso, ¿en todo tipo de empresas independientemente de su estructura, tamaño, localización y recursos?
A. Casanovas: Las buenas prácticas en materia de compliance tienden a converger a nivel internacional. Es una dinámica a la que nos podemos anticipar viendo el resultado de los grupos de normalización en ISO, donde participan expertos de diferentes países del mundo. El fruto de su trabajo arroja resultados muy sólidos y generalmente aceptados en la comunidad internacional. Disponiendo de estos referentes, lo más prudente y efectivo es guiarse por ellos. Por otra parte, su contenido está diseñado para aplicarse bajo el Principio de proporcionalidad, lo que facilita su encaje en cualquier tipo de organización, incluyendo tanto las privadas como las públicas o incluso el Tercer Sector. El error conceptual se produce cuando se replica su aplicación por igual en todas las empresas.
A. Núñez:
Recientemente se ha publicado, por fin, la ISO 37301 sobre CMS (Compliance Management Systems). ¿Qué nos aporta de nuevo esta norma técnica? ¿Las empresas que ya cuenten con sistemas de compliance deberían adaptarse a dicha norma técnica? ¿Es una norma que podría aplicarse a todo tipo de empresa? ¿Incluso a las PYMES?
A. Casanovas: El estándar ISO 37301:2021 no es sólo una actualización certificable de la norma antecesora ISO 19600:2014, pues introduce novedades importantes sobre aspectos antes no contemplados o tratados de forma insuficiente (procesos para el planteamiento de inquietudes, de investigación, de empleo y promoción del personal, etc). Sin embargo, lo más destacable es que subraya la importancia de los aspectos culturales y, por consiguiente, de las palancas que contribuyen a modular los comportamientos de las personas. Claramente, abre la puerta a la aplicación de las ciencias de la conducta y viviremos las consecuencias positivas de esta aproximación en los años venideros. Por otra parte, es un estándar muy oportuno por cuanto muchas organizaciones están migrando sus modelos de compliance penal a otros con alcance más amplio. Previniendo las irregularidades en las esferas civil o administrativa —mucho más frecuentes— se evitan los riesgos más habituales, al tiempo que se dificulta penetrar en la esfera penal. Es una conclusión aplicable en cualquier tipo de empresa, independientemente del tamaño y sector, que permite rentabilizar sus esfuerzos en materia de compliance. Por otra parte, no olvidemos que son los modelos por los que aboga la Circular 1/2016 de la FGC cuando señala que deben procurar el cumplimiento de las leyes, incluyendo la penal, pero no limitándose a ella.
A. Núñez:
Siguiendo con estos estándares técnicos, ¿cuál crees que es el elemento fundamental con el que debe contar todo sistema de compliance y por qué?
A. Casanovas: En el año 2011, el Instituto Alemán de Auditores Públicos (IDW) estudió múltiples marcos de referencia en materia de compliance para extraer sus elementos comunes. Resultaron así siete componentes esenciales, si bien uno de ellos ocupaba un lugar destacado en todos los textos analizados: el compromiso de los órganos de gobierno y la alta dirección. Desde luego, su ausencia provoca la caída del modelo de compliance como un castillo de naipes. Todo intento de implantar un modelo de compliance eficaz es estéril si dichos colectivos no interiorizan sus bondades y su opinión permeabiliza a toda la organización. En verdad, más que una cuestión de compliance es un problema de gobernanza de las organizaciones. Esto explica por qué toda la serie de estándares ISO sobre compliance se agrupará bajo la futura norma ISO 37000 sobre gobernanza de las organizaciones. Ningún modelo de compliance actuará eficazmente en una organización con malas praxis de gobernanza, del mismo modo que ninguna organización bien gobernada puede ignorar las buenas prácticas del compliance. Esta relación biunívoca nos muestra que las disciplinas de compliance y buen gobierno corporativo convergen a gran velocidad y, por ello, debemos prestar mucha atención a ambas esferas.
A. Núñez:
Los agentes externos que prestan servicios en materia de compliance, así como los posibles interesados en que una empresa adopte un modelo de compliance, se están multiplicando. A la vista de ello, cuando un asesor externo en compliance
recibe el encargo de identificar y analizar los riesgos de una empresa, ¿en quién debe pensar y en qué «idioma» debe hablar? Esto es, ¿pensando solamente en su cliente-empresa, en un/a posible fiscal o juez, en un/a auditor/a o, incluso, en un/a certificador/a?
A. Casanovas: Realizar un ejercicio de evaluación de riesgos de compliance precisa conocer la historia de la empresa, sus actividades, procesos y, sobre todo, su cultura. Por ello, es indispensable la participación de su personal clave (incluida su máxima dirección). Podría decirse que el profesional externo asesora y ayuda a canalizar técnicamente el juicio de pronóstico que emana de estas personas. Entre sus cometidos está encauzar dicho ejercicio de reflexión, aplicando metodologías de evaluación generalmente aceptadas. Ahora bien, de este trabajo debe resultar un producto comprensible tanto para la propia organización, como por los eventuales terceros que lo puedan requerir (incluidos jueces, fiscales, auditores y certificadores). Esto requiere un cierto esfuerzo didáctico en el proceso de documentación de la evaluación de riesgos, que facilite su comprensión por los diferentes colectivos que pueden acceder a él. Limitarse a elaborar tablas o documentos equivalentes no siempre facilita esta labor de interpretación por personas ajenas al día a día de compliance.
A. Núñez:
¿Qué elementos crees que debe tener un buen análisis de riesgos? ¿Aconsejas analizar delitos por los que no puede responder penalmente la persona jurídica? ¿Compartes la distinción entre compliance ad intra y ad extra?
A. Casanovas: Pienso que un buen análisis de riesgos recogerá cuatro grupos de información. El primero, es quién ha llegado a las conclusiones, esto es, las personas clave de la organización cuya opinión ha sustentado el juicio de pronóstico —esto fundamenta la calidad de la información de base—. El segundo, son las conclusiones alcanzadas, normalmente en términos de estimación de probabilidad de ocurrencia de los riesgos y de su impacto. El tercero, será la descripción que fundamenta cada conclusión, esto es, los motivos que han llevado a estimar ese grado de probabilidad o de impacto. Y, por último, las actividades, procesos y roles afectados por los riesgos calificados «superior a bajo». Los estándares de compliance aplican este tipo de ejercicios sobre los riesgos para los que se diseñaron. Así, por ejemplo, la norma ISO 37001 se proyecta sobre los riesgos de soborno, pero nada impide que se aplique sobre otras materias en ausencia de otro sistema de gestión mejor adaptado, como puede ser el riesgo de fraude (interno). Pero esta proyección adicional no debe lastrar su pleno desempeño en su ámbito técnico de aplicación. Los modelos de compliance están diseñados para prevenir, detectar y reaccionar correctamente ante irregularidades cometidas «por» las organizaciones (ad extra). Si además se aplican sobre las que se cometen «contra» ellas (ad intra) se logra una sinergia añadida muy recomendable pero no imprescindible.
A. Núñez:
Los procesos de diligencia debida han adquirido mucho protagonismo en el terreno del compliance
empresarial, siendo algo relevante también desde la perspectiva de los Derechos Humanos. De hecho, recientemente ha saltado a la empresa la presunta implicación de una gran multinacional textil en la violación de Derechos Humanos. Aunque finalmente no se impongan sanciones jurídicas, ¿qué incidencia tienen o deberían tener en una empresa esta clase de noticias relacionadas con posibles incumplimientos o incluso infracciones?
A. Casanovas: Las infracciones en materia de Derechos Humanos provocan cada vez más reproche social y consecuencias jurídicas de mayor gravedad. No olvidemos que el delito de trata de seres humanos, incluido en el catálogo de los que aplican a la persona jurídica en España, guarda una estrecha relación con ello, pudiéndose vincular con prácticas laborales infrahumanas desarrolladas directamente o a través de terceros (cadena de suministro, por ejemplo). Además, es un delito de aplicación extraterritorial, de modo que pueden encausarse ante Juzgados y Tribunales españoles hechos ocurridos en el extranjero —los puntos de conexión que habilita nuestra normativa son muy amplios—. Hay quien piensa que es difícil que las autoridades españolas detecten irregularidades cometidas directa o indirectamente en otras jurisdicciones. Pero si consideramos que cualquier competidor o grupo afectado puede tener el interés y los medios para denunciarlo en España, la probabilidad de incidentes aumenta mucho.
A. Núñez:
¿Crees que la formación reduce el riesgo penal de incumplimiento? y, atendiendo a tu propia experiencia, ¿cómo se debería organizar la formación en una gran empresa o en una empresa multinacional? ¿Y en una pequeña empresa?
A. Casanovas: Las actividades de formación y toma de conciencia son clave en todo modelo de compliance. Las primeras guardan relación con la capacitación de las personas, mientras que las segundas pretenden generar un nivel de conocimientos y alerta en toda la organización. No siendo términos sinónimos, en verdad se complementan y contribuyen a establecer o mantener la cultura de compliance. Cabe esperar de las grandes empresas ciclos formativos estructurados e incluso certificados por un tercero. Las medianas y pequeñas pueden recurrir a ciclos formativos más modestos, siempre que cubran igualmente las casuísticas de riesgo que afectan a sus destinatarios. Las US Sentencing Commission Guidelines ponen un ejemplo muy ilustrativo para micropymes, donde la charla del dueño del negocio a sus escasos empleados en la nave de trabajo puede considerarse apropiada a sus circunstancias. Pero las actividades de formación y de toma de conciencia son estériles si la dirección no predica con el ejemplo.
A. Núñez:
A la vista de la Directiva europea de protección a los denunciantes, ¿cuáles son los elementos con los que debería contar un canal de denuncias adecuado? ¿Crees que habría que recompensar a los whistleblowers, como se hace, por ejemplo, en Estados Unidos?
A. Casanovas: La Directiva europea de protección a los denunciantes no establece las características de los canales para el planteamiento de inquietudes, centrándose en la protección de sus usuarios. El próximo estándar ISO 37002 será muy útil a estos efectos, pues sí fijará la estructura y contenidos mínimos que deben disponer estos canales, para merecer tal calificación (incluyendo el estatuto de protección al denunciante, pero no limitándose a ello). Por eso, es una norma que todo profesional del compliance debería seguir. Las «whistleblowing lines» han demostrado ser una herramienta muy eficaz y más económica que otras para la detección de irregularidades, algunas de ellas muy relevantes para el mercado y los consumidores. Bajo esta filosofía —que es la que subyace en la Dodd Frank Act norteamericana, por ejemplo—, tiene sentido retribuir al denunciante. Sin embargo, generalizar esta medida sería desproporcionado.
A. Núñez:
¿Qué aptitudes crees que deben definir a un profesional del cumplimiento normativo? ¿Cuál crees que es la formación idónea para poder ejercer las funciones de cumplimiento en una empresa?. En tu opinión, ¿el abogado es el mejor perfil para ser compliance officer de empresa?
A. Casanovas: Las firmas especializadas en la búsqueda de talento coinciden en señalar el amplio abanico de competencias que sus clientes exigen en las selecciones de compliance officers. Buenas capacidades analíticas, de comunicación y generación de confianza son algunas de las más comunes. La experiencia de los candidatos normalmente las avala, junto con buena formación en materia de compliance. Si analizamos el perfil de quienes ocupan cargos directivos de compliance en grandes organizaciones —españolas y extranjeras— veremos que no todos disponen de formación jurídica. Los cometidos de compliance son híbridos y sui generis, de modo que, a mi juicio, no caben enfoques excluyentes por motivos de formación. Dicho esto, es cierto que la relevancia de la posición sugiere, en cualquier caso, formación de grado y especialización en compliance.
A. Núñez:
¿Crees que es necesario un registro de peritos en materia de compliance? ¿Qué cualificación debería tener una persona que quiera ser perito de compliance?
A. Casanovas: Los análisis de compliance tienden a incrementar su complejidad y para desarrollarlos correctamente se precisan conocimientos técnicos específicos. Pienso que es positivo que Jueces y Magistrados dispongan de un registro de ayuda, para los casos en que necesiten recurrir a él. La clave de un buen peritaje radicará en el nivel de especialización del perito y su grado de experiencia práctica.
A. Núñez:
¿Cuál es tu opinión en relación a la práctica de las investigaciones internas en España? ¿Crees que se están realizando correctamente? En tu opinión, ¿qué no puede faltar en una buena investigación interna?
A. Casanovas: Existen diferentes tipos de investigaciones internas, desde las preliminares hasta las que profundizan en los hechos acontecidos con vistas a la interposición de acciones legales. En estos últimos casos, es muy frecuente la involucración de terceros expertos, capaces de brindar mayor experiencia e imparcialidad, y también con más recursos tecnológicos para desarrollar el trabajo. Es importante que el proceso de investigación esté regulado, sea garantista respecto de los derechos de las partes afectadas y evite la rotura de la cadena de custodia de las evidencias.
A. Núñez:
Actualmente no existe ningún pronunciamiento del Tribunal Supremo sobre la eficacia eximente de los programas de compliance. En tu opinión ¿crees que es cuestión de tiempo? ¿Crees que la tendencia en España será resolver las imputaciones de empresa mediante un sistema de pactos, como ocurre en otros ordenamientos jurídicos?
Bastantes organizaciones llevan años destinando recursos y esfuerzos a sus modelos de compliance, y sería justo reconocerles esta dedicación. Tanto las US Sentencing Commission Guidelines —en los Estados Unidos— como la Circular 1/2016 de la FGE en España reconocen que la materialización de un incidente no significa que la persona jurídica carezca de un buen modelo de compliance. Bajo este entendimiento, cabe reconocer el compromiso de una organización con las buenas praxis incluso en escenarios donde se hayan materializado riesgos. Pienso que el nivel madurez de Jueces y Magistrados españoles en materia de compliance permitirá aplicar el régimen eximente sin complejos cuando concurran las circunstancias. También tiene sentido que España avance hacia un modelo de pactos similar al de otros ordenamientos, pero visados por la autoridad judicial a modo de garantía.